PASO 8 – PROPUESTA AMPLIADA

Elaborado por:
A. Lilian Osorio Serna

Presentado a:

Clemencia Ospina

Grupo: 201014_7

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD

PROYECTO DE GRADO (ING. DE SISTEMA)
Noviembre 2020
Bogotá D.C.
 DESARROLLO DE LA ACTIVIDAD.
Problemática seleccionada.
Línea de investigación: INFRAESTRUCTURA TECNOLOGICA Y SEGURIDAD
EN REDES
Tecnología: Seguridad en la web.

d. Propuesta de investigación ampliada. Adicionar a la propuesta de

investigación, que se ha venido desarrollando desde el Trabajo Colaborativo
1:

 Antecedentes del tema.

Después de consultar los sitios turísticos, se decido seleccionar un proyecto el

cual es interesante ya que este en su título habla de la seguridad que se debe
tener a la hora de navegar en la web, el cual de interés para todas las personas
que utilizan Internet, el cual se encuentra bajo la idea número 009 con la
tecnología denominada: SEGURIDAD DE LA WEB y su línea de investigación se
encuentra en Infraestructura Tecnológica y Seguridad en Redes del área de
Telecomunicaciones.

Internet ofrece a todos los usuarios un gran número de ventajas y facilidades, sin
embargo, también esconde un gran número de peligros de los que debemos ser
conscientes. Los usuarios malintencionados, llamados también piratas
informáticos, desarrollan generalmente complejas herramientas de software
maliciosas llamadas malware que buscan perjudicar a los usuarios mediante
pérdida de datos, robo de información, control remoto y otras técnicas con las que
podrían obtener cierto beneficio de los sistemas infectados.

A diario se crean más de 160.000 nuevos programas maliciosos en internet. En la

actualidad, existen más de 15 millones de códigos dañinos para los equipos
electrónicos, tanto móviles como de escritorio, según Panda Security. En 2015, la
Unidad de Delitos Informáticos recibió más de 7.000 denuncias, el 64 por ciento
relacionadas con robo de dinero e información por medios informáticos.

A eso se suma que las empresas colombianas perdieron más de 600 millones de
dólares debido a ataques cibernéticos el año pasado. Es más, en 2014, se estima
que las compañías de todo el mundo perdieron un trillón de dólares a causa del
cibercrimen. Las cifras demuestran que, para empresas e individuos, la seguridad
informática se ha convertido en un tema crucial.

“El cibercrimen ha crecido de forma proporcional a la masificación de las

tecnologías. Los ciberdelincuentes implementan nuevos y cada vez más
sofisticados métodos de ataque, por lo general tienen fines económicos”
  Estado del Arte de trabajos de investigación similares que se
desarrollan. Se sugiere utilizar las fichas RAE para este propósito.

FORMAT
O
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE
Código: Versión: 01

Fecha de Aprobación: Página 4 de 11

1. Información General
Tipo de documento Proyecto de Grado (Ing. de Sistemas)
Acceso al documento Universidad Nacional Abierta y a Distancia – UNAD
Título del documento Ciberseguridad

Autor(es) Lilian Osorio

Director Clemencia Ospina

Publicación Bogotá D.C. Universidad Nacional Abierta y a Distancia,

2019
Unidad Patrocinante

Amenaza, Autenticación básica, Ataque Web , Ataque

Dirigido , aplicación web, Crimeware , Delito Informático ,
Palabras Claves
auditoría informática, Gateway , Hacker , Inyección de
código SQL,
 2. Descripción
Después de consultar el Banco de Ideas de la UNAD, se decido seleccionar un
proyecto el cual es interesante ya que este en su título habla de la seguridad que se
debe tener a la hora de navegar en la web, el cual de interés para todas las
personas que utilizan Internet, el cual se encuentra bajo la idea número 009 con la
tecnología denominada: SEGURIDAD DE LA WEB y su línea de investigación se
encuentra en Infraestructura Tecnológica y Seguridad en Redes del área de
Telecomunicaciones.

3. Fuentes

Yuni, J. A., & Urbano, C. A. (2014). El proceso metodológico de la investigación

científica. (pp. 130-160). Córdoba, Argentina: Editorial Brujas. Recuperado de
http://bibliotecavirtual.unad.edu.co/login?
url=http://search.ebscohost.com/login.aspx?
direct=true&db=nlebk&AN=847672&lang=es&site=eds-
live&ebv=EB&ppid=pp_130

Ferreyro, A., & Longhi, A. D. (2014). ¿Cómo comenzar una investigación

educativa? ¿Qué preguntas la orientan?, ¿Qué aspectos la condicionan?
Metodología de la investigación (pp. 69–90). Córdoba, Argentina: Encuentro
Grupo Editor. Metodología de la Investigación. Recuperado de
http://bibliotecavirtual.unad.edu.co:2051/login.aspx?
direct=true&db=e000xww&AN=847673&lang=es&site=ehost-
live&ebv=EB&ppid=pp_69

Ferreyro, A., & Longhi, A. D. (2014). ¿Qué significa investigar? ¿Cómo puede
caracterizarse la investigación científica? Metodología de la investigación (pp. 13-
46). Córdoba, Argentina: Encuentro Grupo Editor. Recuperado de
http://bibliotecavirtual.unad.edu.co:2051/login.aspx?
direct=true&db=nlebk&AN=847673&lang=es&site=ehost-
live&ebv=EB&ppid=pp_13

Lerma González, H. D. (2009). Metodología de la investigación: propuesta,

anteproyecto y proyecto (Vol. Cuarta edición). Título, Justificación y Objetivos
(pp. 51-57). Bogotá, D.C.: Ecoe ediciones. Retrieved from
 3. Fuentes
http://bibliotecavirtual.unad.edu.co/login?
url=https://bibliotecavirtual.unad.edu.co:2969/login.aspx?
direct=true&db=nlebk&AN=483354&lang=es&site=ehost-
live&ebv=EB&ppid=pp_51

TodoPMP. Consultado (2019). Secuenciar las actividades. Recuperado de

https://todopmp.com/secuenciar-las-actividades/

Gladys G. (2016). 6.5. Estimar la Duración de las Actividades. Recuperador de

https://www.gladysgbegnedji.com/estimar-la-duracion/

(2019). Herramientas para elaborar el cronograma de actividades de un proyecto

| OBS Business School. Recuperado de https://www.obs-edu.com/int/blog-

project-management/planificacion-de-las-actividades-y-tiempo-de-un-

proyecto/herramientas-para-elaborar-el-cronograma-de-actividades-de-un-

proyecto

Bataller, A. (2016). Planificación de proyectos. La gestión de proyectos (pp. 27-

42). Barcelona, ESPAÑA: Editorial UOC. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?

ppg=27&docID=11231227&tm=1482795056529

Palladino, E. (2014). Administración y gestión de proyectos. Administración y

gestión de proyectos (pp. 25-34). Buenos Aires, AR: Espacio Editorial.

Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?

ppg=25&docID=11162736&tm=1482795267282

Gutiérrez, D. M. J. A., & Pagés, A. C. (2009). Definiciones básicas. Planificación y

 3. Fuentes
gestión de proyectos informáticos (pp. 17-36). Alcalá de Henares, ES: Servicio de

Publicaciones. Universidad de Alcalá. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?

ppg=28&docID=10280334&tm=1482795495894

Muñoz, R. C. (2009). Como elaborar y asesorar una investigación de tesis (pp.

24- 40). Córdoba, AR: El Cid Editor | apuntes. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?

ppg=24&docID=10328246&tm=1481584091767

Yuni, J. A., & Urbano, C. A. (2014). El proceso metodológico de la investigación

científica. Técnicas para investigar: recursos metodológicos para la preparación

de proyectos de investigación (pp. 43-58). Córdoba, Argentina: Editorial Brujas.

Recuperado de: http://bibliotecavirtual.unad.edu.co:2051/login.aspx?

direct=true&db=nlebk&AN=847670&lang=es&site=ehost-

live&ebv=EB&ppid=pp_43

Ferreyro, A., & Longhi, A. D. (2014). ¿Qué significa investigar? ¿Cómo puede

caracterizarse la investigación científica? Metodología de la investigación (pp. 13-

46). Córdoba, Argentina: Encuentro Grupo Editor. Recuperado de:

http://bibliotecavirtual.unad.edu.co:2051/login.aspx?

direct=true&db=nlebk&AN=847673&lang=es&site=ehost-

live&ebv=EB&ppid=pp_13

Moreno C., F., Rebolledo S., L. A., & Marthe Z., N. (2010). Cómo escribir textos

académicos según normas internacionales: APA, IEEE, MLA, Vancouver e

 3. Fuentes
Icontec (pp. 3-73). Barranquilla [Colombia]: Universidad del Norte. Recuperado

de: http://bibliotecavirtual.unad.edu.co:2051/login.aspx?

direct=true&db=e000xww&AN=710205&lang=es&site=ehost-

live&ebv=EB&ppid=pp_iii

WikiEOI. (s.f.). "Las 5 fases en Gestión de Proyectos". Disponible en línea:

http://www.eoi.es/blogs/embacon/2014/04/29/las-5-fases-en-gestion-de-

proyectos/

WikiEOI. (s.f.). "Gestión del Tiempo en Proyectos". Disponible en línea :

http://www.eoi.es/wiki/index.php/GESTI

%C3%93N_DEL_TIEMPO_EN_PROYECTOS_en_Gesti

%C3%B3n_de_proyectos

La Guía PMBOK. (s.f.). "Gestión de los Costes del Proyecto". Disponible en

línea :

https://uacm123.weebly.com/3-gestioacuten-de-los-costes-del-proyecto.html

FICARA. (s.f.). "Planificación de la gestión de costos en un proyecto". Disponible

en

Línea : http://ficprem.com/planificacion-de-la-gestion-de-costos-en-un-proyecto/

La Guía PMBOK. (s.f.). "Gestión del Alcance del Proyecto". Disponible en línea

en:
 3. Fuentes
https://uacm123.weebly.com/1-gestioacuten-del-alcance-del-proyecto.html

MDAP. (s.f.). "Cómo Planificar la Gestión del Alcance del Proyecto". Disponible

en línea en: http://www.uv-mdap.com/blog/otro-enfoque-sobre-como-planificar-la-

gestiondel-alcance/

La Guía PMBOK. (s.f.). "Gestión de la Integración del Proyecto". Disponible en

línea en: https://uacm123.weebly.com/7-getioacuten-de-la-integracioacuten-del-

proyecto.html

ADSLZone. Consultado (2019). Diferentes tipos de malware que abundan en la

red. Recuperador de https://www.adslzone.net/redes/diferentes-tipos-de-
malware-que-abundan-en-la-red/

IW. Consultado (2019). ¿Qué tanto sabe sobre Seguridad Informática?.

Recuperador de http://www.iwsolucionesproductivas.com/recursos/1-que-tanto-
sabe-sobre-seguridad-informatica

4. Contenido
 Marco Teórico.
 Marco Conceptual.
 Marco Tecnológico.
 Tipo de Investigación.
 Enfoque de Investigación.
 Población y Muestra.
 Formulación de Hipótesis.
 Diseño de Instrumentos de Indagación.
  Ingeniería del Proyecto - Describir paso a paso la metodología Propuesta.
 Presupuesto.
 Cronograma.
 Referencias Bibliográficas.

5. Metodología
Después de consultar el Banco de Ideas de la UNAD, se decido seleccionar un
proyecto el cual es interesante ya que este en su título habla de la seguridad que se
debe tener a la hora de navegar en la web, el cual de interés para todas las
personas que utilizan Internet, el cual se encuentra bajo la idea número 009 con la
tecnología denominada: SEGURIDAD DE LA WEB y su línea de investigación se
encuentra en Infraestructura Tecnológica y Seguridad en Redes del área de
Telecomunicaciones.

6. Conclusiones
El formato RAE permite tener un resumen del proyecto que se está desarrollando,
en especial cuando se cuenta con muchos proyectos por revisar, es de gran ayuda
para saber si es viable el proyecto o este se
está realizando.

Elaborado por: Lilian Osorio

Revisado por:

Fecha de elaboración
del 2 1 2020
Resumen: 3 1
 Marco Teórico.

Para lograr una adecuada gestión de la información es indispensable que las

organizaciones hoy en día establezcan una metodología estructurada, clara y
rigurosa para la valoración y tratamiento de los riesgos de seguridad, con el
objetivo de conocer el estado real de la seguridad de los activos de información a
través de los cuales se gestiona la información del negocio, identificar y valorar las
amenazas que puedan comprometer la seguridad de la información y determinar
los mecanismos y medidas de seguridad a implementar para minimizar el impacto
en caso de las posibles pérdidas de confiabilidad, integridad y disponibilidad de la
información.

Debido a la constante evolución de las TIC (tecnologías de la información y las

comunicaciones) hoy en día las cuales demandan un esfuerzo mayor a la hora de
garantizar la seguridad, ya que esta debe ser actualizada constantemente con
respecto a las amenazas que atentan contra la seguridad de la información, las
cuales a su vez son más especializadas, complejas y avanzadas, y a la
normatividad vigente que regula y exige una mayor protección y privacidad de los
datos sensibles, personales, comerciales y financieros de las personas, las
organizaciones deben contar con un modelo o Sistema de Gestión de Seguridad
de la Información basado en estándares de seguridad reconocidos a nivel mundial,
con el propósito de poder establecer y mantener un gobierno de seguridad
alineado a las necesidades y objetivos estratégicos del negocio, compuesto por
una estructura organizacional con roles y responsabilidades y un conjunto
coherente de políticas, procesos y procedimientos, que le permitan gestionar de
manera adecuada los riesgos que puedan atentar contra la confidencialidad,
integridad, disponibilidad, autenticidad, trazabilidad y no repudio de la seguridad
de la información.
 Marco Conceptual

Activo: Persona responsable de gestionar el riesgo. Impacto: Consecuencias de

que la amenaza ocurra. Nivel de afectación en el activo de información que se
genera al existir el riesgo.

Activo de información: Aquello que es de alta validez y que contiene información

vital de la empresa que debe ser protegida.

Amenaza: Es la causa potencial de un daño a un activo de información.

Anexo SL: Nuevo esquema definido por International (Organization for

Standardization - ISO) para todos los Sistemas de Gestión acorde al nuevo
formato llamado “Anexo SL”, que proporciona una estructura uniforme como el
marco de un sistema de gestión genérico.

Análisis de riesgos: Utilización sistemática de la información disponible, para

identificar peligros y estimar los riesgos.

Causa: Razón por la cual el riesgo sucede.

Ciclo de Deming: Modelo mejora continua para la implementación de un sistema

de mejora continua.

Colaborador: Es toda persona que realiza actividades directa o indirectamente en

las instalaciones de la entidad, Trabajadores de Planta, Trabajadores Temporales,
Contratistas, Proveedores y Practicantes.

Confidencialidad: Propiedad que determina que la información no esté disponible

a personas no autorizados 20 NTC-ISO-IEC 27001:2013, Pág. 11-12 40

Controles: Son aquellos mecanismos utilizados para monitorear y controlar

acciones que son consideradas sospechosas y que pueden afectar de alguna
manera los activos de información.

Disponibilidad: Propiedad de determina que la información sea accesible y

utilizable por aquellas personas debidamente autorizadas. Dueño del riesgo sobre
el
Incidente de seguridad de la información: Evento no deseado o inesperado,
que tiene una probabilidad de amenazar la seguridad de la información.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los

activos.

Oficial de Seguridad: Persona encargada de administrar, implementar, actualizar

y monitorear el Sistema de Gestión de Seguridad de la Información.

PSE: Proveedor de Servicios Electrónicos, es un sistema centralizado por medio

del cual las empresas brindan a los usuarios la posibilidad de hacer sus pagos por
Internet.

Probabilidad de ocurrencia: Posibilidad de que se presente una situación o

evento específico.

Responsables del Activo: Personas responsables del activo de información.

Riesgo: Grado de exposición de un activo que permite la materialización de una

amenaza.

Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la

ejecución de ningún control.

Riesgo Residual: Nivel de riesgo remanente como resultado de la aplicación de

medidas de seguridad sobre el activo.

SARC: Siglas del Sistema de Administración de Riesgo Crediticio.

SARL: Siglas del Sistema de Administración de Riesgo de Liquidez.

SARLAFT: Siglas del Sistema de Administración del Riesgo de Lavado de Activos

y Financiación del Terrorismo.

SARO: Siglas del Sistema de Administración de Riesgos Operativos. Seguridad

de la Información: Preservación de la confidencialidad, la integridad y la
disponibilidad de la información (ISO 27000:2014).

SGSI: Siglas del Sistema de Gestión de Seguridad de la Información.

Sistema de Gestión de Seguridad de la información SGSI: Permite establecer,
implementar, mantener y mejorar continuamente la gestión de la seguridad de la
información de acuerdo con los requisitos de la norma NTC-ISO-IEC 27001.

Vulnerabilidad: Debilidad de un activo o grupo de activos de información que

puede ser aprovechada por una amenaza. La vulnerabilidad de caracteriza por
ausencia en controles de seguridad que permite ser explotada.
 Marco Tecnológico.

En este proyecto se cuenta con la tecnología de punta disponible de manera

gratuita o de pago, como el MD5, Blacklisting, Servicio de Detección de Intrusos y
CloudFlare.
 Tipo de Investigación.

Teniendo en cuenta las características del proyecto, se empleará en el desarrollo

del mismo el método investigación de tipo factible, que consiste en la
investigación,
elaboración y desarrollo de una propuesta de modelo operativo viable para
solucionar problemas, requerimientos o necesidades de organizaciones o grupos
sociales; puede referirse a la formulación de políticas, programas, tecnologías,
métodos o procesos.

Con base en la anterior definición, el presente trabajo corresponde al análisis y

desarrollo de una propuesta para la protección de datos de una página de sitios
turisticos, de acuerdo con el alcance definido, las necesidades de la entidad y
tomando como base para ello el modelo de referencia de seguridad de la norma
ISO/IEC 27001:2013. También, durante el desarrollo del proyecto se utilizará el
método de investigación de campo, que permite el análisis sistemático del
problema en la realidad, con el fin de describirlo, interpretarlo, entender su
naturaleza y explicar su causa y efecto.
 Enfoque de Investigación

Dentro de los enfoques de la investigación se tienen los enfoques cuantitativos y

cualitativos; Para este proyecto relacionado con la seguridad de traspaso de la
información, se determinó que la mejor opción es manejar un enfoque mixto ya
que en el contenido de ambos enfoques se aprecian puntos importantes que se
adecuan al proyecto. Gracias al enfoque mixto se pueden utilizar características
de ambos enfoques tales como, la observación y evaluación de los fenómenos
relacionados con el proyecto con lo cual al ser un proyecto de seguridad web,
estas características nos permiten revisar y evaluar detalladamente cuales son las
falencias que se presentan en los ataques de seguridad, luego de esta
observación el enfoque de investigación mixta permite establecer suposiciones o
ideas acerca de dichas falencias gracias a la revisiones previas de los mismos, ya
que de esta manera se prueban o ensayan y se detectan dichas falencias, para
así proponer nuevas soluciones o en su defecto establecer, modificar, cimentar y
fundamentar las nuevas posturas adoptables en el trascurso del proyecto.
 Población y Muestra

Ya que la población se considera como el conjunto total de individuos, objetos o

medidas que tienen características comunes, se considera que para el proyecto
aplicarían todas las personas que son usuarios de internet, desde el usuario más
avanzado hasta el usuario más básico ya que todo aquel que cuenta con acceso a
la red de redes se expone a personas maliciosas que se quieren aprovechar de la
información sensible de estas. Sin embargo, la muestra debe ser enfocada a la
población más sensible en estos ataques como lo son personas entre los 30 a los
60 años, junto con los jóvenes entre los 12 a los 20 años que utilizan internet.
Definiendo la muestra de forma estratificada ya que se busca subdividir la
población en ciertos grupos clasificados por edad.
 Formulación de Hipótesis.

En la actualidad vivimos en un mundo que gira en torno al internet siendo el medio

por el cual las personas tienen infinidades de recursos a su disposición; este es un
medio en el que se realiza transferencia de información personal de millones de
personas utilizando el protocolo HTTPS o Protocolo Seguro de Transferencia de
Hipertexto en páginas Web.

Sin embargo, la confiabilidad en este protocolo ha abierto pequeños espacios de

vulnerabilidad para las personas que realizan transferencia de su información
personal por este medio (Internet), los cuales han sabido aprovechar los llamados
Hackers dejando al descubierto la información personal de quienes son
vulnerados con ataques informáticos. La problemática se desenvuelve en el
protocolo HTPPS el cual ya no es tan confiable para él envió de datos de una
forma segura y encriptada, por lo que creemos que estas falencias se presentan
en los ataques que secuestran las conexiones SSL, un ejemplo claro es cuando
se desea realizar una operación bancaria (online), al ingresar a la página Web del
banco, durante el proceso de conexión SSL/TLS, el banco envía al navegador su
certificado y llave pública firmados, elementos que utilizará para cifrar la
información a transmitir; Un troyano se interpone entre el servidor del banco y el
navegador tomando la llave pública y la información del certificado para cifrar su
propio canal de comunicación, mientras tanto, del lado del navegador el troyano
inserta su certificado autoafirmado, un certificado falso, de tal manera que el
candadito de seguridad del navegador siempre está visible durante la conexión y
así la presencia del troyano resulta imperceptible. Cuando se envía la información
al banco, ésta es cifrada utilizando el certificado falso e interceptado por el mismo
troyano, quien la manipula y transfiere al banco para que éste la procese.
Empleando el certificado falso, el troyano es capaz de descifrar y leer la
información que compartimos con el banco. Información que será utilizada por la
persona atacante (Hacker).
 BIBLIOGRAFÍA

ADSLZone. Consultado (2019). Diferentes tipos de malware que abundan en la

red. Recuperador de https://www.adslzone.net/redes/diferentes-tipos-de-malware-
que-abundan-en-la-red/

IW. Consultado (2019). ¿Qué tanto sabe sobre Seguridad Informática?.

Recuperador de http://www.iwsolucionesproductivas.com/recursos/1-que-tanto-
sabe-sobre-seguridad-informatica